CERT协调中心(CERT/CC)发布漏洞通报,指出Hiawatha Web服务器存在三个严重安全缺陷。Hiawatha是一款轻量级开源Web服务器,作为Apache和Nginx的替代方案,其漏洞可能允许攻击者绕过身份认证、劫持会话甚至执行任意代码。
Hiawatha是一款以安全为核心的开源Web服务器,主打性能与简洁性,支持Windows、macOS和Linux系统。其核心特性包括安全、易用和轻量,支持(Fast)CGI、IPv6、URL重写、反向代理等功能,并具备拦截SQL注入、XSS、CSRF及漏洞利用尝试等独特安全机制,可在Linux、BSD和macOS X系统上稳定运行。
尽管该项目已不再积极维护,开发者仍确认了所报告的漏洞,并表示修复补丁和缓解措施将包含在下次更新中。
漏洞一:请求走私漏洞(CVE-2025-57783)——未经认证即可访问受限资源
首个漏洞CVE-2025-57783为请求走私漏洞,源于8.5至11.7版本中fetch_request函数的头部解析不当。CERT/CC解释:“此漏洞允许未认证攻击者走私请求,访问服务器管理的受限资源。”
攻击者利用该漏洞可绕过认证控制、劫持用户会话,或向构造的请求中注入恶意载荷。由于无需认证,暴露在公网的服务器面临严重风险。
漏洞二:Tomahawk管理组件漏洞(CVE-2025-57784)——本地攻击者可猜解管理员密码
第二个漏洞CVE-2025-57784影响Hiawatha的Tomahawk管理组件,因handle_admin函数中不安全使用strcmp函数导致。CERT/CC指出:“此漏洞允许本地攻击者访问管理客户端。”
攻击者可通过精确测量登录失败尝试的响应时间,逐个推断密码字符,最终获取管理员权限。尽管此类攻击耗时较长,但结合自动化工具后可高效实施。
漏洞三:XSLT模块双重释放漏洞(CVE-2025-57785)——可触发远程代码执行
第三个漏洞CVE-2025-57785影响10.8.2至11.7版本,CERT/CC将其描述为“XSLT show_index函数中的双重释放问题……可能导致数据损坏,进而执行任意代码。”
双重释放错误指同一块内存被释放两次,引发内存 corruption。在Web服务器场景中,攻击者可借此执行任意代码,潜在完全控制受影响服务器。
风险严重性与缓解建议
CERT/CC强调漏洞风险:“利用请求走私漏洞可能导致攻击者绕过认证、劫持会话或注入恶意载荷;时间攻击可泄露管理员凭证;双重释放漏洞则可能引发远程代码执行。”
管理员需在Hiawatha开发者发布更新后立即应用修复版本。在此之前,组织应尽量减少服务器对不可信网络的暴露,并密切监控可疑流量。
发表评论
您还未登录,请先登录。
登录